1.1 概述

随着互联网络的飞速发展，数据和网络成为最重要的基础设施之一。保护信息系统的安全和可靠运行是提供数据和网络服务的基本要求。

不断的黑客入侵、病毒蠕虫的爆发、系统的多样性、短缺的人手增加了信息系统安全管理的难度和复杂性。

机构和企业在信息安全方面已经投入很多资源来降低信息系统的安全风险，如配备防火墙、防病毒系统、入侵检测装置、加密通讯等。事实上，这些措施都是针对安全威胁采用的被动式防护方法，这些方法能在一定程度上降低安全风险。但是任何安全系统都不能保证信息系统不被入侵，传统的安全措施。

由于信息系统被入侵的不确定性，安全管理员寻找一种能够使他们确信信息系统保持在已知的安全状态的解决方案。这种需求促进了数据和网络完整性检查产品市场的发展，完整性检查使安全管理员充分了解到信息系统的安全程度，即当前系统是否完整，可能发生的安全损坏的地点及时间。

本章描述了数据和网络完整性检查（以下简称DNI）技术的基本内容，如何利用DNI保护信息系统的安全运行，从而提升信息系统安全的效率。

1.2 信息系统安全现状

信息系统的复杂性

一直以来，信息系统的发展以速度和容量为首要措施来解决IT需求，这种发展模式在一定程度上削弱了系统的稳定性和安全性，信息系统的联网应用使其面临着每天增加的安全威胁。管理员采用各种安全策略、流程和工具来降低这些安全风险。

除了主动的安全攻击外，通常被信息部门忽略的安全威胁还包括系统的复杂性、软件自身存在的漏洞（缺陷）、信息雇员的稳定性等。

信息系统的基础设施（包括网络系统、服务器、操作系统、数据库管理系统等）正在变得越来越复杂，使得管理员很难确切地了解基础设施的每个细节。如一个典型的UNIX系统包含超过30000个文件，即使去除不必要的辅助软件包，也包含至少16000个文件。

同时，商业应用软件也增加了信息系统的复杂性。软件自身的复杂性导致软件不可避免的存在各种漏洞，供应商需要不断的提供补丁程序来解决这些发现的漏洞。而补丁程序本身也可能包含了新的漏洞从而增加新的不确定性。

雇用和维护信息人员的稳定性是另外一个影响信息系统稳定性和安全性的因素。信息人员一方面要维护复杂的IT系统的运行，在为企业内部、客户、合作伙伴提供灵活的信息服务的同时，还要保持信息系统的安全水平。信息维护人员的离开，信息部门只能依靠已有的文档获知相关系统的信息，而系统的复杂性不可能是文档资料所能够覆盖的。

系统变动的一致性

信息系统在运行过程中，通常会不断变化以适应不断变动的需求。信息系统变动通常会面临以下问题：

问题一：日益增多的信息系统缺乏一致性管理。

一个有几十台（上百台）服务器和网络设备的信息系统通常要求5名以上的系统和网络管理员，这些系统通常都是分别由相应的管理员安装和维护。所有的系统配置、变动过程都不相同，如果没有相应工具的帮助，信息系统主管不可能了解到整个系统的一致性。

问题二：流程和职责导致系统变动的不可管理。

通常应用系统由应用部门的人员进行维护。许多应用系统维护要求根级别的权限，而系统运行人员仍然要维护系统的变动。这种流程和职责的划分经常导致系统变动的不可管理。

变化的管理和控制

日益庞大的系统规模和复杂技术的快速变化使系统管理员陷入管理难题：

1、管理员负责管理的设备数量日益超出其能够控制的能力。快速推出的各种复杂软件和补丁要求管理员不断了解，并调整各个系统的配置。

2、异构的环境增加管理难度。信息系统中不同厂家的网络设备（路由器，交换机、防火墙）、异构的操作系统、数据库管理系统、应用系统、防火墙、其它安全设备等构成一个相互依赖的整体。管理员需要不断调整其安装维护流程以确保操作的正确性。由于变动的复杂性和快速性，许多信息系统很少对操作流程进行有效管理。

由于很难标准化操作流程和在一定程度上对系统失去控制，系统管理员不知道当前系统处于何种状态，也不知道将来系统处于何种状态。系统管理员自己则经常被各种故障和变动要求缠绕而处于“救火”状态。

1.3 传统安全模式的缺陷

初期的信息安全建设者是为政府机构最关键的信息系统提供保护的安全专家，他们致力于采用各种措施保护机密的数据和系统。传统的安全模式趋向于加强被保护资源的保护层，采用严格的访问授权控制，严格的访问审计，数据加密等手段进行保护。

传统模式认为只要加强了安全保护层，就无需关心被保护数据的完整性，包括数据备份在内的措施也不关心当前数据的完整性。

网络技术的发展使网络安全从保护机密数据的任务扩展到保护为机构雇员、客户、合作伙伴提供网络服务的信息系统。在目前环境下，强有力的安全保护层必然削弱提供用户访问网络服务的能力和灵活性，并且建设99％的保护层其投资成本也不现实。

在不可避免的网络安全威胁面前，对数据和网络的完整性保护就成为目前解决传统模式缺陷的必然选择。

1.4 DNI

今天新的DNI技术日益成为机构和企业信息安全管理、网络管理的基本组成部分，DNI技术使管理员能够在任何时间确信其信息系统内的网络和数据处于已知的“正确”状态。

确保数据和网络的完整性，是建设和运行当今信息安全系统的基石，下表说明了采用DNI与没有采用DNI的信息系统的区别：

安全管理员和系统管理员利用DNI来减轻系统管理负担，提高信息系统的一致性和可管理性，加速系统被入侵后的修复效率。同时，由于DNI所提供的系统安全“确信”能力，使得信息系统的任何变动均可被及时发现，从而提高信息系统的稳定性及安全性，机构和企业也能够获得更高的IT投资回报。

DNI采用如下的途径提供信息系统的完整性保护：

1、首先为信息系统内的所有部件（对象）建立基线数据库，这些部件包括服务器、防火墙、路由器、交换机、注册表对象、Web服务器配置、Web页面等，这些对象的基线代表当前已知的正确状态。

2、基线建立后，周期性的将当前信息状态与基线进行比较。标记所有当前状态与基线的差别，并将这些差别报告给系统管理员。

3、管理员检查这些差别并区分哪些是许可的修改，哪些是未授权的改变。对于许可的修改，更新基线数据库。对于未授权的改变，采取对应措施将系统恢复到正确状态。

1.5 DNI收益

DNI可以在以下方面为信息系统管理带来明显的收益：

（一）优化信息系统风险管理

通过部署DNI，IT部门能够建立相应的策略以提高系统管理员的工作效率。

1. IT部门使用周期性的完整性检查，确信管理员确实致力于维护系统的一致性；
2. 保持系统已知的一致性，可以降低系统缺乏变动控制的安全风险。
3. 完整性检查使系统管理员可以快速定位变动从而发现和修补问题。

（二）软件确认和变动管理

几乎所有运行的软件都存在缺陷。这些缺陷可能来自于软件自身设计、不正确的配置、与其它软件的冲突、硬件配置的冲突等。这些缺陷导致的故障非常难以诊断。在配置好系统并使用DNI建立基线投入使用后，这些故障可以非常容易的检查出来。这种主动管理的模式还可以推广到其它的系统维护活动，如增加系统补丁、安装新的软件、增加新功能、修改系统配置等。

（三）入侵检测

DNI使用与入侵模式识别完全不同的入侵检测方式。传统的入侵检查方式基于已知的入侵手段进行检查，几乎很难对新的入侵手段进行检查。DNI基于系统完整性的检查手段能够检查系统内任何微小的变化。

系统入侵事件完全有可能持续几个星期甚至更长而不能发觉，熟练的入侵者能够清除系统日志和欺骗过通常的入侵检查系统。但是，几乎所有的入侵都需要更改关键的系统文件，DNI能够发现任何对系统文件的细小改变。使用DNI不仅能够发现入侵行为，并且能够定位入侵点从而快速恢复被入侵的系统。

（四）损失评价和快速恢复

在发生入侵事件后，尽快恢复系统安全运行是紧急相应的主要目标。检测到入侵并切断入侵连接后，系统管理员主要的任务是评价系统的完整性，确信系统没有后门并将系统恢复到“正确”状态。DNI能够快速判断系统改变点，因而帮助系统管理员快速恢复受损系统并确信系统恢复到“正确”状态。

这种快速的损失评价和恢复能力也能为系统不正确宕机造成系统损坏的情况提供帮助。

（五）诉讼

入侵事件发生后，恢复系统运行成为最高目标，管理员没有时间保留现场以提供对入侵者的诉讼证据。DNI提供了对入侵现场的快照，从而可用于将来的诉讼证据，并作为系统管理员分析入侵行为的资料。

部署DNI最基本的收益来自于它提供了信息系统基线并周期性（或按命令）比较当前系统的基线偏移，从而将系统维持在“正确”状态。这种能力使在提供相同的系统安全级别的情况下，显著降低在安全保护方面的投资。

二、Tripwire解决方案

1992年Gene Kim和Eugene Spafford博士在普渡大学开发了Tripwire的最初版本，自发布以来已经被下载超过100万次。Tripwire公司致力于将Tripwire商品化以提供更加完善的DNI产品。

一个主要的金融机构的CTO这样描述其安全管理策略：“我们要在整个机构内保证信息系统连续的一致性和完整性作为信息安全的基础，Tripwire是首先要采用的DNI产品”。

Tripwire系列产品提供了用于DNI管理的完整解决方案，机构和企业的安全管理员可以使用Tripwire集中管理其信息系统的完整性和一致性。Tripwire帮助建立信息系统的安全基线，并连续的监视关键文件和系统的完整性和一致性。Tripwire能够与传统的安全产品如防火墙、防病毒、入侵检测等协同使用，从而使安全管理员能够快速的定位数据和系统损伤、隔离问题并快速恢复系统。

Tripwire为重要的系统文件建立已知的安全基线，然后管理员可以设置特定的监控条件。Tripwire周期性（或按命令）检查被监控对象与安全基线的差异，并向管理员报告。管理员检查Tripwire的检查报告，确认哪些变动是许可的；针对许可的变动更新安全基线，对于未许可的变动采取措施将其恢复到安全状态。

2.1 Tripwire For Servers

Tripwire For Servers(简称TFS) 检查网络服务器上数据的完整性，报告这些数据的任何变化。除了检查文件内容变更外，Tripwire还检查被监控文件的其它系统属性，如文件大小、访问标记、更新时间等，并生成易于阅读的报告。

强大的保护能力

TFS提供了强大的工具用于保护网络服务器及系统。通过建立审计策略，安全管理员可以检测内部/外部入侵、用户错误、软件故障、未许可的系统后门：

(1)预先定义的策略文件

针对特定的操作系统定义的策略文件帮助快速建立安全基线保护特定的数据和文件。

(2)灵活的策略描述语言

帮助管理员快速定义保护规则及安全级别。

(3)加密签名

TFS的基线数据库，策略文件，报表均可使用1024位的加密算法进行签名，保护其不被非法修改。

(4)快速检查

TFS通过比较当前文件属性与基线数据库的差别，提供广泛及快速的变动检查能力：

(5)多种算法支持

4种签名算法支持文件修改检查。

(6)多种属性监控

监视多达14种文件属性（UNIX）、24种文件属性和注册表项（NT / WIN2000）。因此，即使内容没有修改，也能检测对数据的未授权操作。

(7)严重级别

可对不同的文件赋予不同的严重级别。当变动发生时，管理员能够根据严重级别安排处理（恢复）顺序。

(8)报告处理

完整性检查报告能够根据严重级别发送给设定的处理人员。发送方式包括电子邮件、Tripwire Manager、Syslog和SNMP TRAP。

恢复能力

TFS提供了如下的系统恢复支持：

(1)完整性检查结束后自动产生系统损伤表。

(2)生成文件（数据）恢复列表。

(3)完整性报告存档用于日后审计。

管理特性

管理员可使用Tripwire Manager 通过SSL快速安全地管理机构内的所有TFW。

系统特征

支持的操作系统包括：

• NT4.0/Win2000(PRO, AS)/Win XP
• Solaris (over 2.6）
• AIX 4.3
• HP-UX (10.2, 10.3, 11.*)
• Compaq Tru 64 (4.0F, 4.0G, 5.0A, 5.1)
• LINUX, FreeBSD

UNIX系统属性监控：

1) 文件增加，删除，修改。

2) 文件访问许可属性。

3) iNode及Link数量。

4) Uid及Gid。

5) 文件类型和大小。

6) iNode存储的磁盘设备号。

7) iNode指向的设备的设备号（适用于设备文件）

8) 分配的区块。

9) 修改时间戳。

10) iNode创建和修改的时间戳。

11) 访问时间戳。

12) 增长的文件。

13) 缩小的文件。

14) HASH检查。

Windows 系统属性监控：

1) 文件增加，删除，修改。

2) 文件标记（归档，只读，隐藏，离线，临时，系统，专向）

3) 最近访问时间。

4) 最近写时间。

5) 创建时间。

6) 文件大小。

7) MS-DOS 8.3名称。

8) NTFS压缩标记，NTFS OSID，GSID，NTFS DACL，NTFS SACL。

9) 安全描述符控制及安全描述符大小。

10) 可变的数据流数目。

11) HASH检查。

Windows 系统注册表监控：

1) 注册表Key和值的增加，删除和修改。

2) OSID。

3) GSID。

4) DACL。

5) SACL。

6) Class名称。

7) Class名称的最大长度。

8) 值数量。

9) 值的最大长度。

10) 安全描述符控制。

11) key的安全描述符大小。

12) 最近写时间。

13) 值数据类型。

14) 值数据长度。

15) HASH检查。

2.2 Tripwire Manager

Tripwire Manager(以下简称TM)是一个跨平台的用于管理信息系统内所有TFS软件的控制台软件，它使管理员可以从管理中心集中管理分布在网络内的所有TFS。

集中的策略管理

TM使安全管理员能够集中定义策略文件、配置文件和计划文件，并将其分发到多个TFS，大大降低管理时间。

集中报表

集中的报表功能使安全管理员能够查看所有TFS的检查报告，根据损坏的严重程度安排相应的修复工作。

远程管理

安全管理员能够通过TM远程管理所有TFS，包括执行完整性检查、查看完整性检查报告，远程文件配置等。

安全数据通讯

TM与TFS的通讯采用工作标准的SSL方式，保证通讯过程的安全。

异构环境支持

无论TFS运行在任何操作系统平台，管理员均可由一个TM远程管理。

运行平台

• NT 4.0/Win2000/Win XP
• Solaris2.6以上
• LINUX。

2.3 Tripwire Network Device

Tripwire Network Device（以下简称TND）是业界第一个用于检查网络设备完整性的解决方案，TND 能够在几秒钟内检查网络设备（Router、Switch和Firewall等）的运行配置及启动配置的完整性，以保证这些设备处于“正确”状态，从而提高系统有效时间。

无论是有意或无意的网络设备配置变动，都将影响到网络运行的稳定性。不受控制的配置变动引起的网络故障经常需要有经验的网络管理员花很长的时间来确定故障原因。

TND自动管理网络设备的完整性，其工作原理如下图所示：

（1） 为受管设备建立BaseLine。

（2） 周期性的检查设备运行配置和启动配置。

（3） 如果发现设备配置变化，生成检查报告，同时通过Email发送该报告给网络管理员。配置文件的变动情况以与基线配置逐行比较的方式提供给网络管理员。

（4） 网管员对变动情况进行审计，如果是允许的变动更新设备配置基线；如果是未经许可的变动，网管员可立即恢复设备配置。

降低无效时间

TND自动的快速配置检查和变动通知能力使网管员能够立即了解设备变动情况，从而使网管能够马上采取相应行动，降低网络无效时间。

手工和自动修复加速修复速度

网管员可以认可或拒绝设备配置变动。如果接收设备变动，TND更新设备配置基线。如果配置为拒绝变动，TND可自动恢复设备配置。

集中管理降低人力需求

TND能够集中管理网络内所有的主流的网络设备，网管员可以从网络（控）中心集中控制所有设备的变动。

系统特征

1. 安装快速简单，10分钟内即可工作。
2. 完整性检查和恢复。
3. 变动通知。
4. 加密口令。
5. 配置变动跟踪。

2.4 Tripwire与BS7799

BS7799是英国标准局制订的信息安全管理标准，它是目前广为接受的安全标准之一，国际标准化组织正在以此为基础制订对应的国际标准ISO17799。许多行业正在以BS7799为指导标准管理信息系统安全，这方面以金融服务业最为突出。

BS7799/ISO17799关心的领域包含如下10个部分：

（1）机构(公司)应为信息系统制订安全策略并确保其被执行。

通常在这些安全策略里，数据被定义为应保护的资产。Tripwire直接为数据的完整性提供保护。

（2）机构（公司）应建立专门的机构负责管理信息安全。

Tripwire 可以帮助网控中心和信息安全中心集中管理信息系统的完整性。

（3）资产分类和控制

机构（公司）仅能保护被确认的资产，机构资产应进行分类以便采取相应的措施进行保护。关键的信息资产可以使用Tripwire来保护其完整性。

（4） 个人安全

解决和处理有关人为错误、假冒、偷盗和设备使用不当。Tripwire能够立即发现错误的配置，并立即通知管理员进行修补。

（5） 物理和环境安全

使用物理访问控制保护信息D产的安全。Tripwire For Servers通过对windows注册表、设备文件的完整性检查，可以发现设备是否被非法改变（内存，CPU，外设等）

（6） 通讯和操作安全

确保信息处理过程中的安全和正确的操作。Tripwire为操作系统、网络设备的变动提供管理控制。

（7） 访问控制

对信息系统的访问进行访问控制，通常要求用户管理及资源访问控制。Tripwire通过对用户帐户数据和访问控制文件的完整性检查，确信以上敏感数据未被非法修改。

（8）系统开发和维护

要求系统开发和运行整个生命周期的安全。Tripwire连续的完整性检查帮助系统维护周期内的系统处于“正确”状态。

（9）业务持续管理

要求系统被损坏后业务的持续计划，其中包含系统恢复管理。Tripwire提供了系统和数据恢复的清单，用于恢复被入侵的系统。

（10）审计和一致性

审计和一致性要求设定的策略、标准和流程被正确的执行。Tripwire通过对数据和网络的完整性检查，能够快速审计系统当前状态。

2.5 Tripwire与其它安全产品的关系

Tripwire作为完整的DNI产品，与其它安全防护产品共同工作，能够提供更强的保护能力，同时也为其它安全产品提供保护：

• 评价其它安全产品运行效能。Tripwire能够发现所有可能的入侵，因此能评价保护特定系统的产品的工作效能。
• 保护其它安全产品的配置。Tripwire能够实时保护网络设备，也能保护运行在操作系统之上的其它安全产品的配置文件的完整性。
• 及时发现未知病毒。Tripwire能够发现未知的病毒入侵，提供防病毒系统之外的病毒防护。
• 入侵证据。当入侵被发现时，Tripwire能够保存入侵证据用于分析入侵事件和作为诉讼证据。

三、企业解决方案

政府、银行、大型企业（以下统称为企业）的信息系统支持内部业务系统运行及为客户、供应商和合作伙伴提供业务服务。

企业信息系统的基础IT设施（如网络、服务器、数据库服务器、安全系统等）由企业IT部门提供运行支持和维护，具体的应用系统由相关业务部门维护。

企业IT部门使用Tripwire提供的DNI技术，可以帮助实现：

• 企业网络管理（完整性检查和变动管理）。
• 系统管理和安全审计（系统一致性配置，入侵检测，系统恢复）。

3.1 企业网络管理

企业网络管理的重要目标之一是维护网络运行的稳定性。网络运行过程中，没有控制的网络配置变动经常发生：

• 网管员优化网络性能的调整。
• 更换/增加网络部件（模块）。
• 升级设备软件。
• 网络变动的配置修改。
• 未经授权的非法修改。

由于网络设备总是处于生产运行环境之中，网络配置的任何变动均有可能影响整个网络运行的稳定性。

Tripwire Network Device (TND) 为网控中心(NOC)提供了集中的网络配置管理能力：

• 自动监控所有的网络设备配置变动。
• 使用Email通知相应的变动情况。
• 管理员可设置自动恢复网络设备配置。
• 网控中心通常实行24x7值班管理制度，值班员交接班时可使用TND报告使接班人员确信网络设备处于“正确”状态。
• 将设备变动情况自动记录入运行日志。

下图是TND的变动管理解决方案示意图：

1） TND周期检查网络设备变动。

2） 将变动情况发送Email到管理员。

3）事件管理系统接收Email并进行后续处理。

3.2 系统管理和安全审计

企业网络内的服务器通常是异构的环境，运行包括UNIX、NT在内的各种操作系统，为企业提供各种网络增值服务：

• DNS服务。
• 电子邮件服务。
• Web服务。
• 应用系统服务器。
• 其它专用服务器。

企业网络内的其它安全产品包括入侵检测系统、基于服务器的防火墙、防病毒系统等。

管理员使用TFS和TM能够完成如下管理任务：

（1）集中管理服务器设置。

（2）锁定服务器中安装的软件。

（3） 锁定服务器帐户。

（4）锁定服务器硬件配置。

同时，安全管理员使用TFS和TM的DNI技术，可以执行自动的入侵检测和安全审计：

（1）周期检查系统重要文件，发现入侵痕迹。

（2）快速审计系统完整性，在入侵事件发生后确定损坏区域。

（3）使用审计结果，快速恢复系统。

下图是TFS的系统管理和安全审计解决方案示意图：

（1）TFS安装在受管服务器上。

（2）TM对所有TFS集中管理。

（3）TM向管理员报告设定级别的审计结果。

四、服务提供商解决方案

服务提供商可以使用Tripwire的DNI技术提供客户托管服务器的安全保护。

许多服务提供商为客户的托管服务器提供安全保护服务，并且签订服务质量协议。使用TFS和TM的完整性检查能力，在不增加费用的情况下，提升托管服务器的安全防护能力。

Tripwire针对服务提供商的托管服务专门提供了Tripwire Monitor（只可查看指定的服务器状态），用于客户监视其服务器的完整性情况，客户可以随时了解自身服务器是否处于“正确”状态。

TFS和TM为托管服务器提供如下如下安全保护：

1） 每日服务器完整性检查。

2） 服务器配置安全性审计（与基线比较）。

3） 服务器入侵检测。

4） 服务器快速恢复。

下图是托管服务器安全保护方案的示意图